WordPress hacker : que faire ?

Si votre site Web change d’apparence sans in­ter­ven­tion de votre part ou si la connexion à WordPress ne fonc­tionne plus, ceci peut indiquer que votre page WordPress a été piratée. Heu­reu­se­ment, quelques mesures suffisent à résoudre le problème.

Le piratage d’un site Web ne se remarque souvent pas à première vue. Quelques indices indiquent que votre page WordPress a été hackée.

• La connexion ne fonc­tionne pas : si vous ne pouvez plus vous connecter, cela peut indiquer que votre site Web a été piraté et que le groupe d’at­ta­quants a modifié le mot de passe. Tentez d’abord de réi­ni­tia­li­ser votre mot de passe WordPress pour vous assurer que vous n’avez pas sim­ple­ment oublié vos iden­ti­fiants de connexion.
   
• Aver­tis­se­ments du na­vi­ga­teur : votre na­vi­ga­teur peut émettre un aver­tis­se­ment quand vous essayez d’accéder à votre site WordPress. Cela peut aussi être le signe d’une attaque de piratage. L’aver­tis­se­ment peut également être mis au compte d’un problème con­cer­nant SSL ou des plugins WordPress obsolètes.
   
• Aver­tis­se­ments du moteur de recherche : comme les na­vi­ga­teurs, les moteurs de recherche peuvent émettre des aver­tis­se­ments indiquant qu’il y a eu un piratage de votre WordPress. De tels aver­tis­se­ments peuvent également signaler des piratages de sitemap.
   
• Trans­ferts : si vous voulez accéder à votre site Web et que vous êtes im­mé­dia­te­ment redirigé vers une autre page, ceci indique que votre page WordPress a été piratée. Le groupe d’at­ta­quants ajoutent souvent des scripts aux sites Web qui im­plé­men­tent des re­di­rec­tions vers les sites Web de leur choix.
   
• L’apparence de votre site Web a changé : l’apparence de votre page WordPress peut également prouver qu’une attaque est en cours. Si vous remarquez que des mo­di­fi­ca­tions ont été apportées sans votre in­ter­ven­tion ou celle d’autres ad­mi­nis­tra­teurs, vous devriez examiner ceci de plus près. Les mo­di­fi­ca­tions optiques ne doivent pas né­ces­sai­re­ment être im­por­tantes : même des liens in­di­vi­duels vers des pages aux­quelles vous n’avez pas configuré de lien peuvent signaler la présence d’activités externes.

Dif­fé­rentes raisons ex­pli­quent pourquoi votre site WordPress pourrait être une victime d’une attaque de piratage. Sur WordPress, les causes les plus courantes des attaques de piratage sont les mots de passe non sécurisés, les logiciels gérés et le code non sécurisé. Si vous utilisez des thèmes et des plugins provenant de sources non sûres, ou si vous ne mettez pas ré­gu­liè­re­ment à jour le logiciel que vous utilisez, des failles de sécurité peuvent exister dans les­quelles les pirates vont s’en­gouf­frer. Même les four­nis­seurs d’hé­ber­ge­ment non sérieux qui ne protègent pas leurs serveurs contre les attaques de l’extérieur cons­ti­tuent une trappe po­ten­tielle.

Vous pouvez adopter un certain nombre de mesures si votre page WordPress a été piratée. Ce que vous devez faire et les mesures que vous devez prendre dépendent en fin de compte du type d’attaque. Si votre connexion à l’admin WordPress ne fonc­tionne plus et que vous ne pouvez pas non plus réi­ni­tia­li­ser vos mots de passe, il est utile de vérifier si vous pouvez toujours accéder au contenu de votre base de données avec des outils comme php­MyAd­min.

Dans un premier temps, vous devez mettre votre page en mode de main­te­nance WordPress, voire la mettre com­plè­te­ment hors ligne. Cela garantit que les uti­li­sa­teurs ne peuvent plus accéder à votre site Web tant que vous œuvrez à la ré­so­lu­tion des problèmes liés à l’attaque.

Il est également in­té­res­sant de créer une sau­ve­garde WordPress. Cela vous permet d’accéder à tous les fichiers à tout moment et d’annuler les mo­di­fi­ca­tions. La sau­ve­garde est également une bonne idée quant à la con­ser­va­tion de la preuve. Si vous pouvez retracer le moment de l’attaque, vous pouvez également vous tourner vers une sau­ve­garde que vous avez créée avant l’attaque. Ceci n’est na­tu­rel­le­ment possible que si vous n’avez pas apporté de chan­ge­ments majeurs à votre page depuis.

Si votre WordPress a été piraté, le problème ne doit même pas concerner le site Web lui-même. Les at­ta­quants peuvent avoir utilisé un poste local comme trappe pour le piratage in­for­ma­tique, par exemple en injectant des logiciels mal­veil­lants qui es­pion­nent vos mots de passe. Par con­sé­quent, vous devez im­pé­ra­ti­ve­ment vérifier la présence de tels logiciels sur votre or­di­na­teur. Les antivirus peuvent vous aider à détecter les logiciels mal­veil­lants et à les éliminer.

Il est également pri­mor­dial de réi­ni­tia­li­ser tous les mots de passe et de les remplacer par des mots de passe sécurisés. Si vous avez utilisé votre mot de passe WordPress pour d’autres con­nexions, vous devez également re­nou­ve­ler vos iden­ti­fiants de connexion à ces endroits. Sinon, vous encourez le risque que vos autres comptes soient également piratés.

Vous devriez tout d’abord réi­ni­tia­li­ser votre mot de passe d’ad­mi­nis­tra­teur WordPress. Vous devez également modifier votre mot de passe SFTP, votre mot de passe de base de données et votre mot de passe auprès de votre four­nis­seur d’hé­ber­ge­ment. Si d’autres ad­mi­nis­tra­teurs agissent également sur votre page WordPress, ils devraient modifier leurs mots de passe dès que possible.

Si vous trouvez des comptes d’ad­mi­nis­tra­teur sur votre page WordPress que vous ne con­nais­sez pas, vous devriez les supprimer. Il peut s’agir de comptes que les at­ta­quants ont créés pour apporter des mo­di­fi­ca­tions à votre site Web. Accédez à « Uti­li­sa­teurs », puis à « Ad­mi­nis­tra­teur ». Supprimez tous les comptes que vous ne con­nais­sez pas de la liste.

Au cours de l’étape suivante, vous mettez à jour tous les plugins WordPress et thèmes que vous utilisez pour votre site. Il se peut que votre WordPress n’ait pas été piraté, mais seulement l’une des ex­ten­sions que vous utilisez. Il est donc pré­fé­rable de tenter cette étape avant de mettre en pratique les conseils suivants pour s’épargner un travail inutile.

Vous devez également remettre en question votre uti­li­sa­tion de thèmes ou de plugins que vous avez té­lé­char­gés auprès de four­nis­seurs tiers et dont vous ne con­nais­sez pas le niveau de sé­cu­ri­sa­tion réel. Il est pré­fé­rable d'uti­li­ser uni­que­ment des plugins certifiés et de renoncer en­tiè­re­ment aux logiciels de four­nis­seurs tiers.

Les at­ta­quants peuvent avoir apporté des mo­di­fi­ca­tions aux fichiers centraux ou même introduit des fichiers qui modifient votre page WordPress. Pour trouver des fichiers in­dé­si­rables, un plugin de sécurité WordPress comme WordFence peut vous aider.

Outre le fichier .htaccess, les fichiers souvent infectés par du code mal­veil­lant sont prin­ci­pa­le­ment index.php, footer.php, function.php ou header.php. Si vous remarquez des mo­di­fi­ca­tions dans l’un de ces fichiers, vous devez les remplacer.

Une raison fréquente qui déclenche les aver­tis­se­ments de moteurs de recherche en par­ti­cu­lier est le piratage du sitemap. Par con­sé­quent, vous devez examiner de plus près votre fichier sitemap.xml après une attaque de piratage et éven­tuel­le­ment le recréer. Il existe par exemple des plugins de SEO WordPress qui vous per­met­tent de générer le sitemap à nouveau. Vous devez cependant toujours informer ma­nuel­le­ment les moteurs de recherche comme Google que les problèmes ayant affecté votre site Web ont été corrigés afin qu'il puisse être à nouveau exploré. Ce processus peut toutefois durer jusqu’à deux semaines et ne peut pas être accéléré.

Si toutes les autres mesures ne vous ont pas aidé, vous devrez réins­tal­ler le noyau WordPress. Vous ne devez pas utiliser un programme d’ins­tal­la­tion au­to­ma­tique, car il écra­se­rait votre base de données. Au lieu de cela, vous devez té­lé­ver­ser ma­nuel­le­ment les fichiers in­di­vi­duels à l’aide du protocole SFTP et remplacer vos anciens fichiers.

C’est au plus tard après une attaque de piratage in­for­ma­tique, mais aussi d’une manière générale, que l’idée de rendre votre page WordPress aussi sûre que possible produira ses fruits. Cela peut réduire con­si­dé­ra­ble­ment le risque d’attaques. Même s’il n’existe pas de pro­tec­tion à 100 % contre la vul­né­ra­bi­lité de votre site Web face à des at­ta­quants, une com­bi­nai­son de dif­fé­rentes mesures de pro­tec­tion réduira con­si­dé­ra­ble­ment la pro­ba­bi­lité que votre site en devienne la victime. Ces mesures de pro­tec­tion englobent par exemple :

• Mots de passe sécurisés : assurez-vous d’utiliser des mots de passe sécurisés. Un ges­tion­naire de mots de passe vous aide non seulement à mémoriser mais aussi à générer ces mots de passe. L’au­then­ti­fi­ca­tion à deux facteurs contribue également à renforcer la sécurité.
   
• Mises à jour : maintenez le logiciel que vous utilisez à jour. Vous devriez également installer ré­gu­liè­re­ment les mises à jour WordPress.
   
• Sup­pres­sion de logiciels superflus : si vous avez installé des plugins ou des thèmes que vous n’utilisez pas du tout, vous devez im­pé­ra­ti­ve­ment les supprimer. Ils ne font qu’offrir un flanc d’attaque inutile.
   
• SSL/TLS : chiffrez votre site Web avec SSL ou TLS.
   
• Pare-feux : on peut con­si­dé­rer les pare-feux comme une sorte de barrière contre les at­ta­quants. En con­fi­gu­rant un pare-feu pour votre site Web, vous réduisez également la pro­ba­bi­lité de hacks comme les attaques DDoS.
   
• Four­nis­seur d’hé­ber­ge­ment sérieux : un four­nis­seur d’hé­ber­ge­ment sérieux comme IONOS protège ses serveurs contre les attaques de la meilleure façon possible.